主机安全资料精讲.docVIP

文档类型 内部文档 文档编号 文档版本 保密等级 主机安全 山东城联一卡通有限责任公司 目 录 TOC \o 1-3 \h \z \u 一、身份鉴别 1 二、主机访问控制 1 三、强访问控制 2 四、系统保护 2 五、剩余信息保护 4 六、入侵防范 5 七、恶意代码防范 6 八、资源控制 8 一、主机相关人员安全管理 10 二、机房管理 11 三、计算机病毒防范制度 12 四、数据保密及数据备份制度 13 PAGE 3 主机安全管理 一、身份鉴别 1.系统与应用管理员用户设置 对操作系统进行特权用户的特权分离（如系统管理员、应用管理员等）并提供专用登陆控制模块。采用最小授权原则，进行授权。 2.系统与应用管理员口令安全 启用密码口令复杂性要求，设置密码长度最小值为8位，密码最长使用期限90天，强制密码历史等，保证系统和应用管理用户身份标识不易被冒用。 3.登陆策略 采用用户名、密码、密钥卡令牌实现用户身份鉴别。 4.非法访问警示 配置账户锁定策略中的选项，如账户锁定时间、账户锁定阈值等实现结束会话、限制非法登陆次数和自动退出功能。 二、主机访问控制 1.主机信任关系 在域中设置信任与被信任关系，使一个域中的控制器验证另一个域中的用户，从而自助控制主机信任关系，并配置了数据库主机信任关系。 2.默认过期用户 超过60天没有更新计算机账户密码的计算机账户设置为默认过期用户，为避免共享账户存在，及时删除默认过期用户。 3.用户最小授权原则 根据管理用户的角色对权限做出标准细致的划分，并授予管理用户的最小权限，每个用户只能拥有刚够完成工作的最小权限。并按角色划分权限，每个角色各负其责，权限各自分离，一个管理角色不拥有另一个管理角色的特权。 三、强访问控制 资源访问记录 通过系统安全日志以及设置安全审计，记录和分析各用户和系统活动操作记录和信息资料，包括访问人员、访问计算机、访问时间、操作记录等信息。 重要系统文件强制访问控制范围 对重要系统文件进行敏感标记，设置强制访问控制机制。根据管理用户的角色分配权限，并作了细致划分，禁授予管理用户最小权限，并对用户及用户程序进行限制，从而达到更高的安全级别。 共享目录 关闭系统设置共享目录访问权限时，指定了一个基于本地“Administrators”组帐户的权限，保证共享目录的访问安全。 远程登陆控制 服务器上启用“路由和远程访问”服务，并且依据服务器操作系统访问控制的安全策略，授权访问用户身份/角色，未授权用户身份/角色访问客体，不允许进行访问。 四、系统保护 系统备份 系统备份策略包括本地和远程两种方式。其中，本地备份主要使用容错技术和冗余配置来应对硬件故障，采用热备软件。系统所有数据存在数据库中，实行远程同步和备份数据库 故障恢复策略 正常情况下主服务器由于软硬件故障（非人为因素）发生宕机时，网络容错软件立即激活备份服务器保证业务过程连续进行，不影响用户使用。 特殊情况下由于网络系统遭黑客入侵，或网络系统遭病毒攻击，或系统管理员操作失误导致服务器瘫痪，就要恢复数据和系统。 故障恢复可分为数据还原和系统还原。 安全配置 新建用户时账户便于记忆使用，并且密码有一定复杂度；对不同账户进行授权，拥有相应权限；停用GUEST账户；将管理员账户权限设置最低；将共享文件权限改为授权用户；登陆时不显示上次登陆名；限制用户数量并开启用户策略。 采用安全密码；开启密码策略；加密重要的文件和文件夹。 系统采用NTFS格式化分区；锁定注册表；配置安全策略，并禁止从软盘和光驱启动系统。 磁盘空间安全 采用存储区域网络的方式集中化管理存储网络，包含来自多个厂商的存储服务器、存储管理软件、应用服务器和网络硬件设备，随时随地的实现信息的存储、访问、共享和保护。 机房备有不间断电源(UPS)，保证磁盘的正常工作。做好病毒防护以及系统升级工作 操作系统都存在着很多已知和未知的漏洞，加之现在病毒攻击的范围也越来越广泛，而硬盘作为计算机的信息存储基地，通常都是计算机病毒攻击的首选目标。及时更新系统补丁，升级病毒库，做好病毒防护工作，同时要注意对重要的数据进行保护和经常性的备份。在需要做硬件维护时，不进行带电操作。 服务器7*24小时开启，会长时间频繁的对硬盘进行读写，会对磁盘造成一定的损害，每月作一次到两次磁盘碎片整理，使硬盘的读写速度保持在最佳状态，保证磁盘空间安全。 主机加固 系统按照安全策略实施，减少对外开放的端口，在MMC中关闭不需要的服务，禁止Messenger服务、禁止Telnet服务等；切断主机与应用管理的联系，不授予主机的全局管理权限；在管理员对主机进行访问时，须提供用户名，密码才能登陆，并对密